Citrix Gateway VPN est une solution populaire pour l’accès à distance et les applications web sécurisées. Cependant, il est également vulnérable à une faille de sécurité critique qui permet à des attaquants non authentifiés d’exécuter du code arbitraire sur l’appareil. Cette faille, connue sous le nom de CVE-2023-3519, a été découverte en juillet 2023 et exploitée par des acteurs de la menace en tant que zero-day pour implanter des web shells sur NetScaler ADC d’une organisation d’infrastructure critique.
CVE-2023-3519 affecte les versions suivantes de NetScaler ADC et NetScaler Gateway :
- NetScaler ADC et NetScaler Gateway 13.1 avant 13.1-49.13
- NetScaler ADC et NetScaler Gateway 13.0 avant 13.0-91.13
- NetScaler ADC 13.1-FIPS avant 13.1-37.159
- NetScaler ADC 12.1-FIPS avant 12.1-55.297
- NetScaler ADC 12.1-NDcPP avant 12.1-55.297
Note : NetScaler ADC et NetScaler Gateway version 12.1 est maintenant en fin de vie et est vulnérable.
La vulnérabilité se trouve dans le plugin Citrix Gateway pour Windows, qui est utilisé pour établir une connexion sécurisée entre le client et la machine. Le plugin accepte les entrées utilisateur sans validation appropriée et les transmet à une commande système, ce qui entraîne une injection de code.
Pour exploiter cette vulnérabilité, un attaquant doit envoyer une requête HTTP spécialement conçue à la machine configurée en tant que passerelle (serveur virtuel VPN, proxy ICA, CVPN, proxy RDP) ou serveur virtuel AAA. L’attaquant peut alors exécuter les commandes de son choix sur la machine avec les privilèges de l’administrateur.
Selon la CISA, des acteurs de la menace ont exploité cette vulnérabilité en tant que zero-day pour lancer un web shell sur NetScaler ADC d’une organisation d’infrastructure critique qui n’est pas dans un environnement de production. Le web shell a permis aux attaquants d’effectuer une découverte sur l’Active Directory (AD) de la victime et de collecter et d’exfiltrer des données de l’Active Directory. Les attaquants ont tenté de se déplacer latéralement vers un contrôleur de domaine, mais les contrôles de segmentation du réseau de la machine ont bloqué le mouvement.
Citrix a publié un correctif pour cette vulnérabilité le 18 juillet 2023. La CISA recommande vivement aux clients concernés de NetScaler ADC et NetScaler Gateway d’installer les versions mises à jour correspondantes dès que possible. La CISA fournit également des méthodes de détection et des recommandations de réponse aux incidents pour les organisations qui pourraient avoir été compromises par cette vulnérabilité.
Comment Defants vSIRT peut vous aider
CVE-2023-3519 n’est pas la seule vulnérabilité qui affecte les produits Citrix. En janvier 2020, Citrix a divulgué une autre vulnérabilité RCE critique, CVE-2020-19781, qui affectait plusieurs versions de Citrix Application Delivery Controller (ADC), Citrix Gateway et Citrix SD-WAN WANOP appliances. Cette vulnérabilité a également été largement exploitée par des acteurs de la menace pour compromettre des organisations dans divers secteurs.
Ces incidents soulignent l’importance de l’application de correctifs en temps voulu et d’une réponse proactive aux incidents pour les organisations qui utilisent des produits Citrix ou tout autre dispositif réseau susceptible de les exposer à des cyberattaques.
Pour prévenir les cyberattaques, les organisations doivent
- Appliquer les correctifs dès qu’ils sont disponibles auprès des fournisseurs.
- Surveiller le trafic réseau et les journaux d’évènements pour détecter toute activité suspecte ou anormale.
- Mettre en place une segmentation du réseau et des règles de pare-feu pour limiter l’accès aux systèmes et aux données sensibles.
- Appliquer des politiques d’authentification et d’autorisation solides pour l’accès à distance et les applications web.
- Sensibiliser les utilisateurs et le personnel de manière à éviter les courriels d’hameçonnage et les liens malveillants.
Pour répondre aux cyberattaques, les organisations ont besoin d’une approche moderne avec un CSIRT géré ou une plateforme de réponse aux incidents de sécurité (SIRP), telle que Defants vSIRT.
Defants vSIRT offre plusieurs avantages aux équipes de réponse aux incidents :
- Il automatise les tâches répétitives telles que la collecte de données, l’enrichissement, l’analyse, le triage, les actifs compromis et la création de rapports.
- Il s’intègre à divers outils de sécurité et collecteurs de sources de données tels que Kape, DFIR ORC, Velociraptor ou EDRs (Endpoint Detection and Response), et dans la prochaine version avec des flux de renseignements sur les menaces.
- Il permet la collaboration entre différentes équipes et parties prenantes telles que les analystes, les managers, les cadres, le service juridique et les relations publiques par le biais d’une plateforme centralisée.
- Il normalise les processus de réponse aux incidents et les flux de travail sur la base des meilleures pratiques et des cadres industriels tels que NIST, MITRE ATT&CK.
Avec Defants vSIRT, les intervenants sur incidents peuvent rapidement détecter et répondre à l’exploitation de CVE-2023-3519 et à d’autres cyberattaques. Ils peuvent également tirer parti des capacités de la plateforme pour améliorer leur posture de sécurité et leur résilience.
Defants vSIRT aide les organisations à réduire le temps, le coût et l’impact des cyberattaques, tout en améliorant leur posture de sécurité et leur résilience. C’est un allié puissant dans la lutte contre les cyber-menaces.
Sources: